کشور چین همه اتصالات HTTPS که از پروتکل TLS 1.3 و پسوند ESNI (نمایش نام سرور رمزگذاری شده) TLS استفاده میکنند، که رمزگذاری دادههای مربوط به میزبان درخواستی را فراهم میکند. مسدود کردن در روترهای حمل و نقل هم برای اتصالات ایجاد شده از چین به دنیای خارج و هم از دنیای خارج به چین انجام می شود.
مسدود کردن با رها کردن بستهها از کلاینت به سرور انجام میشود، به جای جایگزینی بسته RST که قبلاً با مسدود کردن محتوای انتخابی SNI انجام میشد. پس از راه اندازی مسدود کردن یک بسته با ESNI، تمام بسته های شبکه مربوط به ترکیب IP مبدا، IP مقصد و شماره پورت مقصد نیز برای 120 تا 180 ثانیه مسدود می شوند. اتصالات HTTPS بر اساس نسخههای قدیمیتر TLS و TLS 1.3 بدون ESNI طبق معمول مجاز است.
به یاد بیاوریم که به منظور سازماندهی کار بر روی یک آدرس IP از چندین سایت HTTPS، پسوند SNI توسعه یافته است که نام میزبان را به صورت متن واضح در پیام ClientHello ارسال می کند که قبل از نصب یک کانال ارتباطی رمزگذاری شده ارسال می شود. این ویژگی امکان فیلتر کردن انتخابی ترافیک HTTPS و تجزیه و تحلیل سایتهایی را که کاربر باز میکند، از طرف ارائهدهنده اینترنت ممکن میشود، که امکان دستیابی به محرمانه بودن کامل در هنگام استفاده از HTTPS را فراهم نمیکند.
پسوند جدید TLS ECH (ESNI سابق) که می تواند همراه با TLS 1.3 مورد استفاده قرار گیرد، این نقص را برطرف کرده و نشت اطلاعات مربوط به سایت درخواستی را هنگام تجزیه و تحلیل اتصالات HTTPS کاملاً از بین می برد. در ترکیب با دسترسی از طریق شبکه تحویل محتوا، استفاده از ECH/ESNI امکان مخفی کردن آدرس IP منبع درخواستی از ارائه دهنده را نیز فراهم می کند. سیستمهای بازرسی ترافیک فقط درخواستهای CDN را میبینند و نمیتوانند بدون جعل جلسه TLS مسدودسازی را اعمال کنند، در این صورت اعلان مربوطه درباره جعل گواهی در مرورگر کاربر نشان داده میشود. DNS همچنان یک کانال نشت احتمالی است، اما مشتری میتواند از DNS-over-HTTPS یا DNS-over-TLS برای مخفی کردن دسترسی DNS توسط مشتری استفاده کند.
محققان قبلا راهحلهای متعددی برای دور زدن بلاک چین در سمت کلاینت و سرور وجود دارد، اما ممکن است نامربوط شوند و فقط باید به عنوان یک اقدام موقت در نظر گرفته شوند. برای مثال، در حال حاضر فقط بستههایی با شناسه پسوند ESNI 0xffce (encrypted_server_name) که در ، اما در حال حاضر بسته هایی با شناسه فعلی 0xff02 (encrypted_client_hello)، پیشنهاد شده در .
راهحل دیگر استفاده از فرآیند مذاکره اتصال غیراستاندارد است، به عنوان مثال، اگر یک بسته SYN اضافی با شماره دنباله نادرست از قبل ارسال شود، مسدود کردن کار نمیکند، دستکاری با پرچمهای تکه تکه کردن بستهها، ارسال بسته با هر دو FIN و SYN. تنظیم پرچم ها، جایگزینی بسته RST با مقدار کنترل نادرست یا ارسال قبل از شروع مذاکره اتصال بسته با پرچم های SYN و ACK. روش های توصیف شده قبلاً در قالب یک افزونه برای جعبه ابزار پیاده سازی شده است , برای دور زدن روش های سانسور
منبع: opennet.ru